Infrastruktur Kunci Publik (Public Key Infrastructure)

Untuk menjalankan eCommerce, dibutuhkan tingkat keamanan yang dapat diterima. Salah satu cara untuk meningkatkan keamanan adalah dengan menggunakan teknologi kriptografi, yaitu antara lain dengan menggunakan enkripsi untuk mengacak data. Salah satu metoda yang mulai umum digunakan  adalah pengamanan informasi dengan menggunakan  public key system.  Sistem lain  yang bisa digunakan adalah  priva e key system. Infrastruktur yang  dibentuk  oleh sistem  public key ini  disebut  Public Key Infrastructure (PKI), atau diterjemahkan dalam Bahasa Indonesia menjadi Infrastruktur Kunci Publik (IKP), dimana kunci publik dapat dikelola untuk pengguna yang tersebar (di seluruh dunia). Komponen-komponen dari infrastruktur kunci publik ini akandibahas lebih lanjut pada bagian berikut.

Certification Authority (CA). Merupakan sebuah body / enity yang memberikan dan mengelola sertifikat digital yang dibutuhkan dalam transaksi elektronik. CA berhubungan erat dengan pengelolaan public key system. Contoh sebuah CA di Amerika adalah Verisign (www.verisign.com). Adalah merugikan apabila perusahaan di Indonesia menggunakan  fasilitas Verisign dalam  transaksi eCommerce. Untuk itu di Indonesia
harus ada sebuah (atau lebih) CA. Sayangnya, untuk menjalankan CA tidak mudah. Banyak hal teknis dan non-teknis yang harus dibenahi. (Catatan: penulis saat ini sedang mengembangkan sebuah CA untuk Indonesia. Kontak penulis untuk informasi lebih lanjut.) CA  dapat  diimplementasikan dengan  menggunakan software yang komersial (seperti yang dijual oleh Verisign) dan juga yang gratis seperti yang dikembangkan oleh OpenCA1.

IPSec. Keamanan media komunikasi merupakan hal yang  penting. Mekanisme untuk mengamankan media komunikasi  yang aman  (secure) selain menggunakan SSL, yang akan dijelaskan kemudian, adalah  dengan menggunakan  IP Secure.  Plain IP versi 4, yang umum digunakan saat ini, tidak menjamin keamanan data.

Pretty Good Privacy (PGP).  PGP dapat digunakan untuk authentication, encryption, dan  digital signature. PGP umum digunakan (de facto) di  bidang eMail. PGP memiliki permasalahan hukum (law) dengan algoritma enkripsi yang digunakannya, sehingga ada dua sistem, yaitu sistem yang dapat digunakan di Amerika Serikat  dan sistem  untuk internasional (di luar Amerika Serikat). Implementasi dari PGP ada bermacam-macam,
dan bahkan saat ini sudah ada implementasi dari GNU yang disebut GNU Privacy Guard (GPG).

Privacy Enhanced Mail (PEM).  PEM merupakan standar pengamanan email yang diusulkan oleh Internet Engineering Task Force (IETF) (http://www.IETF.org).

PKCS. Public Key Cryptography Standards.

S/MIME.  Selain menggunakan PGP, pengamanan eMail dapat juga dilakukan dengan menggunakan standar S/MIME.  S/MIME sendiri merupakan standar dari secure messaging,  dan tidak terbatas hanya untuk  eMail saja. Beberapa vendor EDI sudah berencana  untuk menggunakan  S/MIME sebagai salah satu standar yang didukung untuk messaging. Informasi mengenai S/MIME dapat diperoleh dari berbagai tempat,
seperti misanya: S/MIME Central <http://www.rsa.com/smime/>

Secure Sockets Layer (SSL).  Seperti dikemukakan  pada awal dari report ini, eCommerce banyak  menggunakan teknologi Internet. Salah satu teknologi yang digunakan adalah standar  TCP/IP  dengan menggunakan  socket. Untuk meningkatkan keamanan informasi  keamanan layer socket  perlu ditingkatkan dengan menggunakan teknologi kriptografi. Netscape mengusulkan pengamanan dengan menggunakan Secure
Socket Layer (SSL) ini. Untuk implementasi yang bersifat gratis dan open source, sudah tersedia OpenSSL  project (http://www.openSSL.org). Selain SSL ada juga pendekatan lain, yaitu dengan menggunakan Transport Layer Security (TLS v1).